Les attaques pour vol de données bancaires sur smartphone explosent en 2024 - Actus du 03/03/2025
Découvrez comment la dernière mise à jour de Microsoft 365 s'accompagne de bugs, tandis que des cybercriminels détournent Clickfix Trick pour déployer Havoc C2 via SharePoint et exploitent une vulnérabilité de Paragon pour des attaques ransomware. Protégez vos systèmes dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft lie la mise à jour récente de Microsoft 365 à la mise à jour du buggy
Microsoft a attribué la récente panne de Microsoft 365 à un problème de codage lié à une mise à jour défectueuse. L'incident, survenu le week-end dernier, a affecté l'authentification d'Outlook et d'Exchange Online, entraînant également des dysfonctionnements dans Teams et Power Platform, ainsi que des problèmes d'accès à Purview. La panne a débuté à 20h40 UTC et a été résolue vers 21h45 UTC grâce à un retour en arrière du code problématique. Microsoft a confirmé que l'impact était dû à une mise à jour récente des systèmes d'authentification de Microsoft 365. Après la résolution des problèmes d'authentification, l'entreprise a surveillé les services pour s'assurer de leur rétablissement. Un rapport préliminaire sur l'incident devrait être publié ultérieurement, et Microsoft prévoit de revoir son processus de gestion des changements pour éviter de futurs problèmes. Par ailleurs, des utilisateurs d'Exchange Online sur iOS continuent de rencontrer des difficultés d'accès à leurs calendriers et e-mails, bien que la société n'ait pas identifié de mises à jour de service contribuant à ces problèmes. Des erreurs d'authentification liées à une application tierce pourraient être en cause.
Sources :
Les pirates utilisent Clickfix Trick pour déployer Havoc C2 basé sur PowerShell via des sites SharePoint
Des chercheurs en cybersécurité mettent en lumière une nouvelle campagne de phishing utilisant la technique ClickFix pour déployer un cadre de commande et de contrôle (C2) open-source nommé Havoc. Selon Fortinet ForEGuard Labs, l'attaquant dissimule chaque étape du malware derrière un site SharePoint et utilise une version modifiée de Havoc Demon avec l'API Microsoft Graph pour masquer les communications C2 au sein de services de confiance. L'attaque débute par un email de phishing contenant une pièce jointe HTML ("Documents.html") qui, une fois ouverte, affiche un message d'erreur. Cela incite les utilisateurs à exécuter une commande PowerShell malveillante, déclenchant ainsi la prochaine étape. Cette commande télécharge un script PowerShell depuis un serveur SharePoint contrôlé par l'adversaire. Le script vérifie s'il s'exécute dans un environnement sécurisé avant de télécharger l'interpréteur Python, puis un script Python servant de charge utile pour KaynLdr, un chargeur réflexif capable de lancer un agent Havoc Demon. Parallèlement, Malwarebytes signale que des acteurs malveillants exploitent une faille dans les politiques de Google Ads pour cibler des clients PayPal avec de fausses annonces, incitant les victimes à appeler des numéros frauduleux.
Sources :
Les pirates exploitent la vulnérabilité du pilote du gestionnaire de partition de paragon dans les attaques de ransomwares
Des acteurs malveillants exploitent une vulnérabilité dans le pilote BioNTdrv.sys de Paragon Partition Manager pour mener des attaques par ransomware, permettant l'escalade de privilèges et l'exécution de code arbitraire. Cette faille zero-day (CVE-2025-0289) fait partie d'un ensemble de cinq vulnérabilités découvertes par Microsoft, selon le CERT Coordination Center (CERT/CC). Parmi celles-ci figurent des vulnérabilités de mappage et d'écriture de mémoire kernel, une déréférence de pointeur nul, un accès non sécurisé aux ressources kernel, et une vulnérabilité de déplacement de mémoire. Un attaquant ayant un accès local à un système Windows peut exploiter ces failles, car "BioNTdrv.sys" est signé par Microsoft, ce qui facilite les attaques de type Bring Your Own Vulnerable Driver (BYOVD). Les versions affectées incluent 1.3.0 et 1.5.1, avec des détails spécifiques sur chaque vulnérabilité. Paragon Software a corrigé ces problèmes avec la version 2.0.0 du pilote, et la version vulnérable a été ajoutée à la liste noire de Microsoft. Cette annonce survient peu après que Check Point a révélé une campagne de malware exploitant un autre pilote vulnérable pour déployer le malware Gh0st RAT.
Sources :
L'ICO du Royaume-Uni enquête sur Tiktok, Reddit et Imgur sur les pratiques de protection des données des enfants
Le Bureau du Commissaire à l'information du Royaume-Uni (ICO) a lancé une enquête sur les plateformes en ligne TikTok, Reddit et Imgur pour évaluer les mesures prises pour protéger les enfants âgés de 13 à 17 ans. L'enquête se concentre sur l'utilisation des données personnelles des jeunes par TikTok, propriété de ByteDance, afin de recommander du contenu sur leurs fils d'actualité. L'ICO souligne des préoccupations croissantes concernant l'utilisation des données générées par l'activité en ligne des enfants, qui pourrait les exposer à des contenus inappropriés ou nuisibles. Parallèlement, l'ICO examine également Imgur et Reddit pour comprendre comment ils utilisent les informations des enfants et les méthodes mises en place pour vérifier l'âge de leurs utilisateurs. L'organisme de régulation évalue si ces services ont enfreint les lois sur la protection des données et prévoit de partager toute preuve trouvée avec les entreprises concernées avant de rendre une décision finale. John Edwards, Commissaire à l'information, a affirmé que la responsabilité de la sécurité des enfants en ligne incombe aux entreprises et a réaffirmé l'engagement de l'ICO à garantir le respect des droits des enfants en matière d'information. Cette initiative fait suite à l'entrée en vigueur du Code des enfants en septembre 2021.
Sources :
Recap hebdomadaire thn: Alertes sur les exploits zéro-jours, les violations de l'IA et les cambriolages crypto
Cette semaine, un activiste serbe de 23 ans a été victime d'une exploitation zero-day qui a compromis son appareil Android. Ce cas met en lumière un problème croissant où les modèles de langage (LLMs) suggèrent des pratiques de codage peu sécurisées en raison de l'inclusion de données sensibles dans leur formation. TRM Labs a signalé que l'attaque de Bybit reflète les tactiques de la Corée du Nord, qui cible les échanges de cryptomonnaies par phishing et vol de clés privées. Les acteurs derrière la campagne Contagious Interview visent plusieurs entreprises de cryptomonnaies, notamment Stripe et Coinbase. Parallèlement, Andrew Shenkosky, un homme du Michigan, a été inculpé pour fraude après avoir acheté des identifiants volés sur le dark web. Des extensions malveillantes, retirées du Chrome Web Store, ont affecté 3,2 millions d'utilisateurs. En réponse à des demandes d'accès aux données chiffrées, la Signal Foundation a déclaré qu'elle préférerait quitter le marché plutôt que de se conformer. Les discussions sur la sécurité des données se poursuivent, notamment après la désactivation par Apple de certaines fonctionnalités de protection des données au Royaume-Uni. Enfin, un projet nommé Galah explore l'utilisation de l'IA moderne en cybersécurité.
Sources :
Les attaques pour vol de données bancaires sur smartphone ont triplé en 2024, selon Kaspersky
En 2024, les attaques par chevaux de Troie bancaires sur smartphones Android ont explosé de 196 %, atteignant 1 242 000 incidents, selon le rapport de Kaspersky sur les menaces mobiles. Les cybercriminels exploitent des messages provenant de contacts piratés pour donner une apparence légitime à leurs attaques, tout en utilisant des sujets d'actualité pour créer un sentiment d'urgence chez les victimes. Bien que ces chevaux de Troie soient en forte croissance, ils ne ciblent que 6 % des utilisateurs. En moyenne, 2,8 millions d'attaques de logiciels malveillants ont été lancées chaque mois, avec 33,3 millions d'attaques bloquées par Kaspersky en 2024. Le groupe Fakemoney, responsable d'applications frauduleuses, a été le plus actif. Les versions modifiées de WhatsApp contenant le cheval de Troie Triada ont également été une menace significative. Kaspersky recommande de télécharger des applications uniquement depuis des magasins officiels, de vérifier les avis et les permissions des applications, et de maintenir à jour les systèmes d'exploitation et les applications. Le logiciel malveillant SparkCat, capable de voler des captures d'écran, a été découvert sur les deux principales plateformes, soulignant que même les magasins d'applications ne sont pas totalement sûrs.
Sources :
Les nouveaux groupes de ransomwares se tremblent 2025
Les actions des forces de l'ordre contre des groupes majeurs comme LockBit ont entraîné une fragmentation du paysage du ransomware, favorisant l'émergence de gangs plus petits. Cet article examine trois nouveaux acteurs : RansomHub, Fog et Lynx, et leur impact prévu en 2024. RansomHub, considéré comme le successeur spirituel d'ALPHV, opère en tant que Ransomware-as-a-Service (RaaS) avec des accords stricts pour ses affiliés, interdisant les cibles dans certains pays et organisations. Malgré un faible taux de paiement (11,2 % des victimes), RansomHub privilégie le volume d'attaques pour assurer sa rentabilité. Son ransomware, développé en Golang et C++, se distingue par sa rapidité d'encryption. Fog, quant à lui, a réalisé au moins 30 intrusions en 2024, principalement via des comptes VPN SonicWall compromis, avec une vitesse d'attaque alarmante. Lynx a revendiqué plus de 70 victimes en 2024, montrant une présence significative. Les recherches suggèrent que ces groupes pourraient renforcer leurs capacités et devenir des acteurs dominants dans le paysage du ransomware d'ici 2025, avec des méthodes et outils similaires à ceux de leurs prédécesseurs.
Sources :
Pourquoi le DNS est au cœur de la directive NIS 2, les perspectives d’Infoblox
La directive européenne NIS 2 impose des exigences renforcées en matière de cybersécurité pour protéger les secteurs essentiels contre les cybermenaces, mettant en lumière l'importance de la sécurité du DNS. Infoblox, expert en gestion et sécurité du DNS, souligne que le DNS est crucial pour la continuité des opérations numériques, car il est souvent ciblé par les cybercriminels pour des attaques telles que l'exfiltration de données et le phishing. La directive insiste sur la résilience des services DNS pour garantir la disponibilité en cas d'incident. Les erreurs de configuration des domaines publics facilitent les détournements malveillants, comme l'illustre l'opération Horrid Hawk. L'ENISA recommande d'intégrer des services DNS sécurisés dans les stratégies de cybersécurité, permettant de bloquer l'accès aux sites malveillants et de détecter les tentatives d'usurpation. Les bonnes pratiques incluent la création d'architectures DNS résilientes, la réduction des risques d'exploitation frauduleuse et l'utilisation de services de protection avancés. La directive NIS 2 s'appuie sur des normes telles que la publication 800-81 du NIST, actuellement mise à jour. Laurent Rousseau d'Infoblox insiste sur l'intégration de la sécurité DNS dans les stratégies de cybersécurité pour anticiper les menaces.
Sources :
Discrètement, les États-Unis abandonnent leurs opérations contre les hackers de Moscou
Le 28 février 2025, The Record a rapporté que le secrétaire à la Défense américain, Pete Hegseth, a ordonné la suspension de tous les programmes cybernétiques offensifs contre la Russie, marquant un changement stratégique significatif dans la posture des États-Unis face à la menace cybernétique russe. Cette décision, transmise au général Timothy Haugh du Cyber Command, a suscité des inquiétudes, notamment de la part de Jake Williams, expert en cybersécurité, qui a critiqué cette approche comme un abandon des réponses américaines dans le cyberespace. Bien que la National Security Agency (NSA) continue ses opérations contre la Russie, la suspension des programmes pourrait également affecter le soutien cybernétique à l'Ukraine. La Russie, connue pour ses activités de cybercriminalité, a régulièrement ciblé les États-Unis, notamment avec des attaques notables comme le piratage de SolarWinds en 2020. Depuis l'invasion de l'Ukraine en 2022, les cyberattaques ont augmenté, incluant des infiltrations dans des infrastructures critiques. Cette décision pourrait envoyer un message inquiétant à l'OTAN sur l'engagement des États-Unis dans la lutte contre le cybercrime d'État.
Sources :
Le pic de Vo1d Botnet dépasse 1,59 m de téléviseurs Android infectés, couvrant 226 pays
Un malware nommé Vo1d cible des appareils Android TV dans des pays comme le Brésil, l'Afrique du Sud, l'Indonésie, l'Argentine et la Thaïlande, infectant environ 800 000 adresses IP actives quotidiennement. Ce botnet a atteint un pic de 1 590 299 adresses le 19 janvier 2025, touchant 226 pays. En Inde, le taux d'infection a explosé, passant de moins de 1 % à 18,17 % en quelques mois. Vo1d a évolué pour améliorer sa furtivité et sa résilience, utilisant un chiffrement RSA pour sécuriser les communications et rendant l'analyse plus difficile. Le malware, documenté pour la première fois en septembre 2024, exploite une porte dérobée pour télécharger des exécutables supplémentaires. Les infections pourraient résulter d'attaques de chaîne d'approvisionnement ou de firmwares non officiels. Google a précisé que les modèles de TV infectés n'étaient pas certifiés Play Protect. Vo1d semble également faciliter des activités criminelles comme la fraude publicitaire. Une nouvelle version du malware, Mzmess, a été identifiée, intégrant plusieurs plugins pour des services de proxy et de promotion publicitaire. Les experts avertissent que Vo1d pourrait être utilisé pour des attaques cybernétiques à grande échelle.
